PandaLabs vient de détecter l’apparition du nouveau ver Zafi.D, qui se diffuse dans les messages en se faisant passer pour des vœux de Noël, ainsi que par les applications de fichiers partagés en P2P. A l’approche de Noël, ce type d’ingénierie sociale pourrait permettre à ce nouveau code malicieux d’infecter un grand nombre d’ordinateur. Dans les faits, le site du support international de Panda Software a déjà indiqué recevoir de nombreux rapports d’incidents causés par Zafi.D depuis un grand nombre de pays. Pour cette raison, les utilisateurs sont invités à prendre leurs précautions devant n’importe quel message de ce type.

Zafi.D gagne les ordinateurs à partir de courrier électronique dont le sujet est le nom d’une personne sélectionné au hasard et dont le texte du message Happy holidays! Est écrit dans la langue correspondant au domaine de l’adresse email à laquelle il a été envoyé. Conséquences, si le message a été envoyé à une adresse qui se termine par .fr le message sera écrit en français, tandis que s’il se finit en .de, il sera écrit en allemand. Ces courriers électroniques contiennent également une pièce jointe d’un nom variable, sélectionné à partir d’une longue liste d’options.

Si l’utilisateur active ce fichier, qui contient concrètement Zafi.D, un faux message d’erreur s’affiche à l’écran. Le ver s’envoie ensuite de lui-même à l’extérieur par email en utilisant son propre moteur SMTP à toutes les adresses qu’il aura récupérées dans les fichiers se terminant par certaines extensions stockées sur l’ordinateur infecté. Ce ver mettra un terme à tous les processus mémoire en cours qui viendrait à contenir les textes firewall ou virus. Il empêchera aussi l’accès aux applications contenant les textes reged, msconfig ou task.

En outre, Zafi.D insère de nombreuses clés dans la base de registre pour être certain de s’exécuter à chaque démarrage de la machine.

Principales conséquences: Zafi.D désactive dans un premier temps les programmes de sécurité à chaque utilisation de l’ordinateur, le rendant encore plus sensible à d’autres virus. Il rend impossible l’accès à la base de registre pour retirer « manuellement » les clés de ce ver, enfin, il interdit toutes modifications des options de démarrage destiné à éviter son exécution dès le départ, et il n’oublie pas d’empêcher l’accès au gestionnaire des tâches permettant de mettre un terme aux processus déclenchés. Un véritable arsenal de contre-mesures aux parades « manuelles » traditionnelles qui ne manquera pas d’en agacer plus d’un.